蓝队分析、溯源、反制总结（非常详细）零基础入门到精通，收藏这一篇就够了

监测/分析经验小结

在护网期间，蓝队主要就是通过安全设备看告警信息，后续进行分析研判得出结论及处置建议，在此期间要注意以下内容。

内网攻击莫忽视

内网攻击告警需格外谨慎，可能是进行内网渗透。

1. 攻击IP是内网IP，攻击行为不定，主要包括：扫描探测行为、爆破行为、命令执行等漏扫行为。

2. 资产属性-内网攻击IP资产属性。

3. 研判告警行为是否为攻击动作，如弱口令、SQL注入漏洞可能是业务行为。

4. 上级排查与客户一起进一步确认设备问题。

企图告警需排查

企图类告警需格外谨慎，可能是“已经成功”。

1. 告警主要包括：后门程序、代码行为、命令执行行为。

2. 资产属性+流量确认。

3. 综合判断告警是否成功（成功的话就需要提供证据给规则反馈）。

4. 上级排查与客户一起进一步确认设备问题。

爆破行为也要看

爆破攻击告警需格外谨慎，可能是“正在进行时”。

1. 告警主要包括：客户对外端口的服务对外开放。

2. 资产属性+流量确认。

3. 综合判断业务是否对外开放（及时确认是否需要规避风险点）。

成功失陷追仔细

成功失陷追仔细，可能是”溯源不够细致，遗漏蛛丝马迹“。

1. 告警主要包括：成功+失陷的告警。

2. 资产属性+流量确认+告警确认+数据分析+兄弟产品跟进。

3. 协助客户上机排查，书写防守或溯源报告。

**常见溯源方式
**

在发现资产被攻击之后，防守方需要及时进行溯源和排查，通常情况下，溯源需要获取到目标攻击者的一部分个人信息，比如手机号，邮箱，QQ 号，微信号等，通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源，下述介绍了一些整理了一些常见的方法和工具。

1. 域名、ip 反查目标个人信息

首先通过威胁情报平台确认攻击ip是否为威胁 ip，常用的平台通常有如下

https://x.threatbook.cn/ 微步在线威胁情报社区

https://ti.qianxin.com/ 奇安信威胁情报中心

https://ti.360.cn/ 360威胁情报中心

https://www.venuseye.com.cn/ VenusEye威胁情报中心

当发现IP的为攻击IP后，可以尝试通过此IP去溯源攻击者，具体实现过程通常会用到下述方法：

1. ip 反查域名

2. 域名查 whois 注册信息

3. 域名查备案信息、反查邮箱、反查注册人

4. 邮箱反查下属域名

5. 注册人反查下属域名

IP/域名定位常用网址

站长之家IP查询网址：https://ip.tool.chinaz.com/ipbatch

IP138查询网：https://www.ip138.com/

高精度IP定位：https://www.opengps.cn/Data/IP/LocHighAcc.aspx

IP信息查询：https://www.ipip.net/ip.html/

IP地址查询在线工具：https://tool.lu/ip/

多地Ping检测：http://ping.chinaz.com/

Whois查询：https://whois.chinaz.com/

2. 攻击者ID等方式追踪

定位到攻击者ip后，可以通过社工库、社交软件、指纹库等其它方式捕获到攻击者个人社交账号捕获到更精准的敏感信息，可以采取以下思路。

1. 支付宝转账，确定目标姓氏

2. 进行QQ账号、论坛、贴吧、等同名方式去搜索

3. 淘宝找回密码，确定目标名字

4. 企业微信手机号查公司名称

5. REG007 通过邮箱、手机号查注册应用、网站

6. 度娘、谷歌、src、微博、微信、知乎、脉脉等知道的各大平台上搜索

3. 通过攻击程序分析

攻击者如果在恶意攻击过程中对目标资产上传攻击程序（如后门、恶意脚本、钓鱼程序等），我们可通过对攻击者上传的恶意程序进行分析，并通过IP定位等技术手段对攻击进行分析溯源，常用的恶意程序分析网站有：

微步在线云沙箱：https://s.threatbook.cn/

腾讯哈勃：https://habo.qq.com/

Virustotal：https://www.virustotal.com/gui/home/upload

火眼：https://fireeye.ijinshan.com

魔盾安全分析：https://www.maldun.com/analysis/

4. 蜜罐

简介：

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐溯源的两种常见方式：

一种是在伪装的网站上插入特定的js文件，该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等。另一种是在伪装的网站上显示需要下载某插件，该插件一般为反制木马，控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。

5. 常见案例链接分享

整理了一下常见的溯源案例链接，希望能对大家起到帮助

https://www.freebuf.com/articles/web/246060.html //记一次蜜罐溯源

https://www.freebuf.com/articles/web/254538.html //从溯源中学到新姿势

https://www.secpulse.com/archives/141438.html //蓝队实战溯源反制手册分享

https://blog.csdn.net/u014789708/article/details/104938252 //记一次溯源恶意ip僵尸网络主机的全过程

https://mp.weixin.qq.com/s/xW2u4s8xCTnLCkpDoK5Yzw //记一次反制追踪溯本求源

常见反制方式

通过蜜罐反制

主要就是下述反制手段做操作

1. 可克隆相关系统页面，伪装“漏洞”系统

2. 互联网端投饵，一般会在Github、Gitee、Coding上投放蜜标（有可能是个单独的网站地址、也有可能是个密码本引诱中招）

3. 利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份（网络画像）

邮件钓鱼反制

安全防护基础较好的厂商，一般来说除了出动0day，物理近源渗透以外，最常见的就是邮件钓鱼了，在厂商收到邮件钓鱼的情况下，我们可以采取化被动为主动的方式，假装咬钩，实际上诱导攻击者进入蜜网。

渗透工具漏洞

可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞（需要一定的技术水平），或利用历史漏洞部署相关环境进行反打

OpenVPN配置后门

OpenVPN配置文件（OVPN文件，是提供给OpenVPN客户端或服务器的配置文件）是可以修改添加命令的。

盲打攻击反制

攻击者可能通过盲打漏洞方式来获取权限，一般盲打都具备一个数据回传接口（攻击者需要接收Cookie之类的数据），接口在JavaScript代码中是可以寻找到的，我们可以利用数据回传接口做以下两件事情，并后续引导攻击者进入我们部署好的蜜罐。

1. 打脏数据回传给XSS平台

2. 打虚假数据回传给XSS平台

通过攻击服务器端口/web 等漏洞

攻击者可能是通过自己搭建的公网服务器进行攻击的，或者是通过此服务器与后门进行通讯。其中服务器可能运行诸多服务，且未打补丁或设置强密码，导致防守方可以进行反打。

应急响应工具箱

在hvv期间，或者是在平常工作时间段，难免会碰到一些应急场景，这里推荐GitHub上一个大佬的应急工具箱，整合了诸多的分析文章和常见工具。

**地址链接：**https://github.com/No-Github/1earn/blob/master/1earn/Security/BlueTeam/%E5%BA%94%E6%80%A5.md

参考及部分引用资料

天眼分析经验总结

https://www.cnblogs.com/123456ZJJ/p/13261049.html

浅谈蓝队反制手段

https://mp.weixin.qq.com/s/qjM7Fh0u0Edsz5C7L_ErGQ

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

3.技术文档和电子书
技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文转自 https://blog.csdn.net/logic1001/article/details/141324454?spm=1001.2014.3001.5501，如有侵权，请联系删除。